Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver de olika komponenterna i en Microsoft Sentinel lösning och hur de kan arbeta tillsammans för att hantera viktiga kundscenarier.
Den Sentinel plattformen innehåller en datasjö, graf, Jupyter Notebook-jobb, en MCP-server (Model Context Protocol) och data från mer än 300 Sentinel anslutningsappar som hjälper kunderna att centralisera och analysera sina säkerhetsdata på ett kostnadseffektivt sätt. Dessa funktioner plus Microsoft Security Copilot göra det möjligt för kunder och partner att skapa effektfulla lösningar som kan publiceras via Microsoft Security Store.
Sentinel SIEM används av SOC-team (Security Operations) för att generera identifieringar, undersöka skadligt beteende och åtgärda hot. Genom att skapa Sentinel anslutningsappar för att hämta nya data, och genom att skapa innehåll som analysregler, spelböcker, jaktfrågor, parsare och arbetsböcker, kan partner hjälpa SOC-team att få information som de behöver för att identifiera hot och svara på lämpligt sätt. Sentinel SIEM-lösningar publiceras via Sentinel Content Hub.
Datainsamling
Oavsett om du skapar en lösning som använder plattformskomponenter eller riktar in dig på en Sentinel SIEM-integrering är det viktigt att ha rätt data för ditt scenario.
Sentinel-anslutningsappar tar in data till Sentinel, som sedan kan analyseras i sjön med hjälp av Jupyter Notebooks och jobb, eller åtgärdas med Sentinel SIEM-innehåll som analysregler och jaktfrågor.
Dessa data kan innehålla följande typer:
| Typ | Beskrivning |
|---|---|
| Ej bearbetade data | Stöder identifieringar och jaktprocesser. Analysera råa driftdata där det kan finnas tecken på skadlig aktivitet. Ta med obearbetade data till Microsoft Sentinel för att använda Microsoft Sentinel inbyggda jakt- och identifieringsfunktioner för att identifiera nya hot med mera. Exempel: Syslog-data, CEF-data över Syslog, program, brandvägg, autentisering eller åtkomstloggar med mera. |
| Säkerhetsslutsatser | Skapar aviseringssynlighet och möjlighet till korrelation. Aviseringar och identifieringar är slutsatser som redan har gjorts om hot. Att sätta identifieringar i kontext med alla aktiviteter och andra identifieringar som visas i Microsoft Sentinel undersökningar, sparar tid för analytiker och skapar en mer fullständig bild av en incident, vilket resulterar i bättre prioritering och bättre beslut. Exempel: aviseringar mot skadlig kod, misstänkta processer, kommunikation med kända dåliga värdar, nätverkstrafik som har blockerats och varför, misstänkta inloggningar, identifierade lösenordsattacker, identifierade nätfiskeattacker, dataexfiltreringshändelser med mera. |
| Referensdata | Skapar kontext med refererade miljöer, vilket sparar undersökningsarbete och ökar effektiviteten. Exempel: CMDB:er, tillgångsdatabaser med högt värde, beroendedatabaser för program, IP-tilldelningsloggar, hotinformationssamlingar för berikning med mera. |
| Hotinformation | Driver hotidentifiering genom att bidra med indikatorer på kända hot. Hotinformation kan innehålla aktuella indikatorer som representerar omedelbara hot eller historiska indikatorer som bevaras för framtida förebyggande åtgärder. Historiska datauppsättningar är ofta stora och refereras bäst ad hoc, i stället för att importera dem direkt till Microsoft Sentinel. |
Tolkar
Parsers är KQL-funktioner som omvandlar anpassade data från produkter från tredje part till ett normaliserat ASIM-schema. Normalisering säkerställer att SOC-analytiker inte behöver lära sig mer om nya scheman och i stället skapa analysregler och jaktfrågor i det normaliserade schemat som de redan är bekanta med. Granska tillgängliga ASIM-scheman som tillhandahålls av Microsoft Sentinel för att identifiera relevanta ASIM-scheman (ett eller flera) för dina data för att säkerställa enklare registrering för SOC-analytiker och för att säkerställa att det befintliga säkerhetsinnehållet som skrivits för ASIM-schemat är tillämpligt för dina produktdata. Mer information om tillgängliga ASIM-scheman finns i ASIM-scheman (Advanced Security Information Model).
Visualisering
Du kan inkludera visualiseringar som hjälper kunderna att hantera och förstå dina data, genom att inkludera grafiska vyer över hur väl data flödar till Microsoft Sentinel och hur effektivt de bidrar till identifieringar.
Du kan inkludera visualiseringar som hjälper kunderna att hantera och förstå dina data, genom att inkludera grafiska vyer över hur väl data flödar till Microsoft Sentinel och hur effektivt de bidrar till identifieringar.
Övervakning och identifiering
Sentinel övervaknings- och identifieringsfunktioner skapar automatiserade identifieringar som hjälper kunderna att skala soc-teamets expertis.
I följande avsnitt beskrivs övervaknings- och identifieringselement som du kan inkludera i din lösning.
Security Copilot agenter
Security Copilot agenter automatiserar repetitiva uppgifter och minskar manuella arbetsbelastningar. De förbättrar säkerheten och IT-driften i molnet, datasäkerhet och sekretess, identitet och nätverkssäkerhet. För Sentinel kan agenter fråga SIEM eller datasjön och anropa API:er för att utöka Microsoft Sentinel data. De kan använda notebook-jobb för intensiv databearbetning eller analys och använda valfritt antal plugin-program.
Jupyter Notebook-jobb
Jupyter Notebook-jobb tillhandahåller kraftfulla verktyg för att utföra komplexa datatransformeringar och köra maskininlärningsmodeller med Spark-jobb i Sentinel Data Lake. De kan användas av Security Copilot agenter för att tillhandahålla ett deterministiskt och effektivt sätt att utföra dataanalys och sammanfattning och köras kontinuerligt. Notebook-jobb kan skriva anpassade datatabeller till analysnivån och datasjön som ska användas av underordnade komponenter som agenter, arbetsböcker, jaktfrågor med mera.
Analysregler
Analysregler är avancerade identifieringar som kan skapa korrekta och meningsfulla aviseringar.
Lägg till analysregler i din lösning för att hjälpa dina kunder att dra nytta av data från systemet i Microsoft Sentinel. Till exempel kan analysregler hjälpa till att ge expertis och insikter om de aktiviteter som kan identifieras i de data som din integrering levererar.
De kan skicka aviseringar (viktiga händelser), incidenter (undersökningsenheter) eller utlösa automationsspelböcker.
Du kan lägga till analysregler genom att inkludera dem i en lösning och via Microsoft Sentinel ThreatHunters-communityn. Bidra via communityn för att uppmuntra communityns kreativitet framför partnerbaserade data, vilket hjälper kunder med mer tillförlitliga och effektiva identifieringar.
Jaktfrågor
Med jaktfrågor kan SOC-analytiker proaktivt leta efter nya avvikelser som inte identifieras av de schemalagda analysreglerna. Jaktfrågor hjälper SOC-analytiker att ställa rätt frågor för att hitta problem från data som redan är tillgängliga i Microsoft Sentinel och hjälpa dem att identifiera potentiella hotscenarier. Genom att inkludera jaktfrågor kan du hjälpa kunder att hitta okända hot i de data du anger.
Arbetsböcker
Arbetsböcker tillhandahåller interaktiva rapporter och instrumentpaneler som hjälper användare att visualisera säkerhetsdata och identifiera mönster i data. Behovet av arbetsböcker beror på det specifika användningsfallet. När du utformar din lösning bör du tänka på scenarier som bäst kan förklaras visuellt, särskilt för scenarier för att spåra prestanda.
Undersökning
I Sentinel undersökningsdiagrammet får utredare relevanta data när de behöver dem, vilket ger insyn i säkerhetsincidenter och aviseringar via anslutna entiteter. Utredare kan använda undersökningsdiagrammet för att hitta relevanta eller relaterade, bidragande händelser till hotet som är under utredning.
Partner kan bidra till undersökningsdiagrammet genom att tillhandahålla:
- Microsoft Sentinel aviseringar och incidenter som skapats via analysregler i partnerlösningar.
- Anpassade utforskningsfrågor för partnerbaserade data. Anpassade utforskningsfrågor ger omfattande utforskning och anslutning mellan data och insikter för säkerhetsutredare.
Svar
Spelböcker stöder arbetsflöden med omfattande automatisering och kör säkerhetsrelaterade uppgifter i kundmiljöer. De är viktiga för att säkerställa att SOC-analytikerna inte överbelastas av taktiska objekt och kan fokusera på den mer strategiska och djupare rotorsaken till sårbarheterna. Om till exempel en varning med hög allvarlighetsgrad identifieras kan en spelbok automatiskt initiera en serie åtgärder, till exempel att meddela säkerhetsteamet, isolera berörda system och samla in relevanta loggar för ytterligare analys.
Spelböcker kan till exempel hjälpa dig på något av följande sätt:
- Hjälpa kunder att konfigurera säkerhetsprinciper i partnerprodukter
- Samla in extra data för att informera om utredningsbeslut
- Länka Microsoft Sentinel incidenter till externa hanteringssystem
- Integrera hantering av aviseringslivscykel mellan partnerlösningar
När du utformar din lösning bör du tänka på de automatiserade åtgärder som kan vidtas för att lösa incidenter som skapats av analysreglerna som definierats i din lösning.
Sentinel SIEM-scenarioexempel
I följande avsnitt beskrivs vanliga partnerscenarier och rekommendationer för vad som ska ingå i en lösning för varje scenario.
Din produkt genererar data som är viktiga för säkerhetsundersökningar
Scenario: Din produkt genererar data som kan informera säkerhetsundersökningar.
Exempel: Produkter som tillhandahåller någon form av loggdata är brandväggar, molnprogramsäkerhetskoordinatorer, fysiska åtkomstsystem, Syslog-utdata, kommersiellt tillgängliga och företagsbyggda LOB-program, servrar, nätverksmetadata, allt som kan levereras via Syslog i Syslog- eller CEF-format eller via REST API i JSON-format.
Så här använder du dina data i Microsoft Sentinel: Importera produktens data till Microsoft Sentinel via en dataanslutning för att tillhandahålla analys, jakt, undersökningar, visualiseringar med mera.
Vad du ska skapa: I det här scenariot ska du inkludera följande element i din lösning:
| Typ | Element som ska inkluderas |
|---|---|
| Obligatoriskt | – En Microsoft Sentinel dataanslutning för att leverera data och länka andra anpassningar i portalen. Exempeldatafrågor |
| Rekommenderas | -Arbetsböcker – Analysregler för att skapa identifieringar baserade på dina data i Microsoft Sentinel |
| Valfri | – Jaktfrågor för att ge jägare färdiga frågor att använda vid jakt - Notebook-filer, för att leverera en helt guidad, repeterbar jaktupplevelse |
Din produkt tillhandahåller identifieringar
Scenario: Din produkt tillhandahåller identifieringar som kompletterar aviseringar och incidenter från andra system
Exempel: Lösningar för skydd mot skadlig kod, lösningar för företagsidentifiering och svar, lösningar för nätverksidentifiering och svar, e-postsäkerhetslösningar som skydd mot nätfiske, sårbarhetsskanning, lösningar för hantering av mobila enheter, UEBA-lösningar, informationsskyddstjänster och så vidare.
Så här använder du dina data i Microsoft Sentinel: Gör dina identifieringar, aviseringar eller incidenter tillgängliga i Microsoft Sentinel för att visa dem i kontext med andra aviseringar och incidenter som kan inträffa i dina kunders miljöer. Överväg också att leverera loggar och metadata som driver dina identifieringar, som extra kontext för undersökningar.
Vad du ska skapa: I det här scenariot ska du inkludera följande element i din lösning:
| Typ | Element som ska inkluderas |
|---|---|
| Obligatoriskt | En Microsoft Sentinel dataanslutning för att leverera data och länka andra anpassningar i portalen. |
| Rekommenderas | Analysregler för att skapa Microsoft Sentinel incidenter från dina identifieringar som är användbara i undersökningar |
Din produkt tillhandahåller hotinformationsindikatorer
Scenario: Produkten tillhandahåller hotinformationsindikatorer som kan ge kontext för säkerhetshändelser som inträffar i kundernas miljöer
Exempel: TIPSplattformar, STIX/TAXII-samlingar och offentliga eller licensierade hotinformationskällor. Referensdata, till exempel WhoIS, GeoIP eller nyligen observerade domäner.
Så här använder du dina data i Microsoft Sentinel: Leverera aktuella indikatorer för att Microsoft Sentinel för användning på Microsofts identifieringsplattformar. Använd storskaliga eller historiska datauppsättningar för berikningsscenarier via fjärråtkomst.
Vad du ska skapa: I det här scenariot ska du inkludera följande element i din lösning:
| Typ | Element som ska inkluderas |
|---|---|
| Aktuell hotinformation | Skapa en GSAPI-dataanslutning för att skicka indikatorer till Microsoft Sentinel. Ange en STIX 2.0 eller 2.1 TAXII Server som kunder kan använda med den färdiga TAXII-dataanslutningen. |
| Historiska indikatorer och/eller referensdatauppsättningar | Ange en anslutningsapp för logikappar för att komma åt data och en spelbok för berikande arbetsflöden som dirigerar data till rätt platser. |
Din produkt ger extra kontext för undersökningar
Scenario: Din produkt tillhandahåller extra kontextuella data för undersökningar baserade på Microsoft Sentinel.
Exempel: Extra kontext-CMDB:er, värdefulla tillgångsdatabaser, VIP-databaser, programberoende databaser, incidenthanteringssystem, biljettsystem
Så här använder du dina data i Microsoft Sentinel: Använd dina data i Microsoft Sentinel för att utöka både aviseringar och incidenter.
Vad du ska skapa: I det här scenariot ska du inkludera följande element i din lösning:
- En logic app-anslutningsapp
- En spelbok för berikande arbetsflöden
- Ett arbetsflöde för hantering av extern incidentlivscykel (valfritt)
Din produkt kan implementera säkerhetsprinciper
Scenario: Din produkt kan implementera säkerhetsprinciper i Azure Policy och andra system
Exempel: Brandväggar, NDR, EDR, MDM, identitetslösningar, lösningar för villkorsstyrd åtkomst, fysiska åtkomstlösningar eller andra produkter som stöder blockering/tillåt eller andra åtgärdsbara säkerhetsprinciper
Så här använder du dina data i Microsoft Sentinel: Microsoft Sentinel åtgärder och arbetsflöden som möjliggör åtgärder och svar på hot
Vad du ska skapa: I det här scenariot ska du inkludera följande element i din lösning:
- En logic app-anslutningsapp
- En spelbok för åtgärdsarbetsflöde
Referenser för att komma igång
Alla Microsoft Sentinel SIEM-integreringar börjar med Microsoft Sentinel GitHub-lagringsplats och bidragsvägledning.
När du är redo att börja arbeta med din Microsoft Sentinel lösning hittar du instruktioner för att skicka, paketera och publicera i Guiden för att skapa Microsoft Sentinel-lösningar.
Komma till marknaden
Microsoft erbjuder programmen för att hjälpa partner att närma sig Microsoft-kunder:
Microsoft Partner Network (MPN). Det primära programmet för att samarbeta med Microsoft är Microsoft Partner Network. Medlemskap i MPN krävs för att bli en Azure Marketplace-utgivare, där alla Microsoft Sentinel lösningar publiceras.
Azure Marketplace. Microsoft Sentinel lösningar levereras via Azure Marketplace, där kunderna går för att identifiera och distribuera både Microsoft- och partnerspecifika allmänna Azure-integreringar.
Microsoft Sentinel lösningar är en av många typer av erbjudanden som finns på Marketplace. Du kan också hitta lösningserbjudandena inbäddade i Microsoft Sentinel innehållshubben
Microsoft Intelligent Security Association (MISA). MISA ger Microsofts säkerhetspartner hjälp med att skapa medvetenhet om partnerskapade integreringar med Microsoft-kunder och hjälper till att tillhandahålla identifiering för produktintegreringar i Microsoft Security.
Att gå med i MISA-programmet kräver en nominering från ett deltagande Microsoft Security Product Team. Att skapa någon av följande integreringar kan kvalificera partner för nominering:
- En Microsoft Sentinel dataanslutning och associerat innehåll, till exempel arbetsböcker, exempelfrågor och analysregler
- Publicerade Logic Apps-anslutningsappen och Microsoft Sentinel spelböcker
- API-integreringar från fall till fall
Om du vill begära en MISA-nomineringsgranskning eller för frågor kontaktar du AzureSentinelPartner@microsoft.com.
Nästa steg
Mer information finns i:
Datainsamling:
- Metodtips för datainsamling
- Microsoft Sentinel dataanslutningar
- Hitta din Microsoft Sentinel dataanslutning
- Förstå hotinformation i Microsoft Sentinel
Hotidentifiering:
- Automatisera incidenthantering i Microsoft Sentinel med automatiseringsregler
- Undersöka incidenter med Microsoft Sentinel
- Automatisera hotsvar med spelböcker i Microsoft Sentinel
Jakt och anteckningsböcker:
- Jaga hot med Microsoft Sentinel
- Hantera jaktfrågor i Microsoft Sentinel med hjälp av REST API
- Använda Jupyter Notebooks för att söka efter säkerhetshot
Visualisering: Visualisera insamlade data.
Undersökning: Undersöka incidenter med Microsoft Sentinel.
Svar: